5.3. 공유 리소스 CSI Driver Operator

5.3.1. CSI 정보

스토리지 벤더는 일반적으로 Kubernetes의 일부로 스토리지 드라이버를 제공합니다. CSI(Container Storage Interface) 구현을 통해 타사 공급자는 코어 Kubernetes 코드를 변경하지 않고도 표준 인터페이스를 사용하여 스토리지 플러그인을 제공할 수 있습니다.

CSI Operator는 in-tree 볼륨 플러그인에서 사용할 수 없는 볼륨 스냅샷과 같은 OpenShift Container Platform 사용자 스토리지 옵션을 제공합니다.

5.3.2. 네임스페이스 간 보안 공유

클러스터의 네임스페이스에서 보안을 공유하려면 공유하려는 Secret 오브젝트에 대한 SharedSecret CR(사용자 정의 리소스) 인스턴스를 생성합니다.

사전 요구 사항

다음 작업을 수행할 수 있는 권한이 있어야 합니다.

클러스터 범위 수준에서 sharedsecrets.sharedresource.openshift.io CRD(사용자 정의 리소스 정의)의 인스턴스를 생성합니다.
클러스터의 네임스페이스에서 역할 및 역할 바인딩을 관리하여 해당 인스턴스를 가져오고, 나열하며, 감시할 수 있는 사용자를 제어합니다.
역할 및 역할 바인딩을 관리하여 Pod에서 지정한 서비스 계정이 사용할 SharedSecret CR 인스턴스를 참조하는 CSI(Container Storage Interface) 볼륨을 마운트할 수 있는지 여부를 제어합니다.
공유하려는 보안이 포함된 네임스페이스에 액세스합니다.

절차

클러스터의 네임스페이스에서 공유할 Secret 오브젝트에 대한 SharedSecret CR 인스턴스를 생성합니다.

$ oc apply -f - <<EOF
apiVersion: sharedresource.openshift.io/v1alpha1
kind: SharedSecret
metadata:
  name: my-share
spec:
  secretRef:
    name: <name of secret>
    namespace: <namespace of secret>
EOF

5.3.3. Pod에서 SharedSecret 인스턴스 사용

Pod에서 SharedSecret CR(사용자 정의 리소스) 인스턴스에 액세스하려면 해당 SharedSecret CR 인스턴스를 사용하도록 지정된 서비스 계정 RBAC 권한을 부여합니다.

사전 요구 사항

클러스터의 네임스페이스에서 공유할 보안에 대한 SharedSecret CR 인스턴스를 생성했습니다.
다음 작업을 수행할 수 있는 권한이 있어야 합니다.
- oc get sharedsecrets 명령을 입력하고 비어 있지 않은 목록을 다시 가져와서 사용할 수 있는 SharedSecret CR 인스턴스를 검색합니다.
- Pod에서 지정하는 서비스 계정이 지정된 SharedSecret CR 인스턴스를 사용할 수 있는지 확인합니다. 즉, oc adm policy who-can use <identifier of specific SharedSecret >을 사용하여 네임스페이스의 서비스 계정이 나열되는지 확인할 수 있습니다.
- Pod에서 지정하는 서비스 계정에서 csi 볼륨을 사용할 수 있는지 또는 Pod를 직접 생성한 사용자가 csi 볼륨을 사용할 수 있는지 확인합니다. 자세한 내용은 "사실 설명 및 pod 보안 승인 관리"를 참조하십시오.

참고

이 목록에 있는 마지막 두 개의 사전 요구 사항이 모두 충족되거나, 생성하거나, 생성할 사람을 요청하면 SharedSecret CR 인스턴스를 검색하고 서비스 계정에서 SharedSecret CR 인스턴스를 사용할 수 있도록 필요한 RBAC(역할 기반 액세스 제어)입니다.

절차

oc apply 를 YAML 콘텐츠와 함께 사용하여 해당 Pod에서 SharedSecret CR 인스턴스를 사용하도록 지정된 서비스 계정 RBAC 권한을 부여합니다.
참고
현재 kubectl 및 oc 는 Pod 보안에 중점을 둔 역할로 use 동사를 제한하는 하드 코드 특수 케이스 논리가 있습니다. 따라서 oc create role … 을 사용하여 SharedSecret CR 인스턴스 사용에 필요한 역할을 생성할 수 없습니다.
```
$ oc apply -f - <<EOF
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  name: shared-resource-my-share
  namespace: my-namespace
rules:
  - apiGroups:
      - sharedresource.openshift.io
    resources:
      - sharedsecrets
    resourceNames:
      - my-share
    verbs:
      - use
EOF
```

oc 명령을 사용하여 역할과 관련된 RoleBinding 을 생성합니다.

$ oc create rolebinding shared-resource-my-share --role=shared-resource-my-share --serviceaccount=my-namespace:builder

Pod에서 SharedSecret CR 인스턴스에 액세스합니다.

$ oc apply -f - <<EOF
kind: Pod
apiVersion: v1
metadata:
  name: my-app
  namespace: my-namespace
spec:
  serviceAccountName: default

# containers omitted …. Follow standard use of ‘volumeMounts’ for referencing your shared resource volume

    volumes:
    - name: my-csi-volume
      csi:
        readOnly: true
        driver: csi.sharedresource.openshift.io
        volumeAttributes:
          sharedSecret: my-share

EOF

5.3.4. 네임스페이스 간 구성 맵 공유

클러스터의 네임스페이스에서 구성 맵을 공유하려면 해당 구성 맵에 대한 SharedConfigMap CR(사용자 정의 리소스) 인스턴스를 생성합니다.

사전 요구 사항

다음 작업을 수행할 수 있는 권한이 있어야 합니다.

클러스터 범위 수준에서 sharedconfigmaps.sharedresource.openshift.io CRD(사용자 정의 리소스 정의)의 인스턴스를 생성합니다.
클러스터의 네임스페이스에서 역할 및 역할 바인딩을 관리하여 해당 인스턴스를 가져오고, 나열하며, 감시할 수 있는 사용자를 제어합니다.
클러스터의 네임스페이스에서 역할 및 역할 바인딩을 관리하여 CSI(Container Storage Interface) 볼륨을 마운트하는 Pod에서 해당 인스턴스를 사용할 수 있는 서비스 계정을 제어합니다.
공유하려는 보안이 포함된 네임스페이스에 액세스합니다.

절차

클러스터의 네임스페이스에서 공유할 구성 맵에 대한 SharedConfigMap CR 인스턴스를 생성합니다.

$ oc apply -f - <<EOF
apiVersion: sharedresource.openshift.io/v1alpha1
kind: SharedConfigMap
metadata:
  name: my-share
spec:
  configMapRef:
    name: <name of configmap>
    namespace: <namespace of configmap>
EOF

5.3.5. Pod에서 SharedConfigMap 인스턴스 사용

다음 단계

Pod에서 SharedConfigMap CR(사용자 정의 리소스) 인스턴스에 액세스하려면 해당 SharedConfigMap CR 인스턴스를 사용하도록 지정된 서비스 계정 RBAC 권한을 부여합니다.

사전 요구 사항

클러스터의 네임스페이스에서 공유할 구성 맵에 대한 SharedConfigMap CR 인스턴스를 생성했습니다.
다음 작업을 수행할 수 있는 권한이 있어야 합니다.
- oc get sharedconfigmaps 명령을 입력하고 비어 있지 않은 목록을 다시 가져와서 사용할 수 있는 SharedConfigMap CR 인스턴스를 검색합니다.
- Pod에서 지정하는 서비스 계정이 지정된 SharedSecret CR 인스턴스를 사용할 수 있는지 확인합니다. 즉, oc adm policy who-can use <identifier of specific SharedSecret >을 사용하여 네임스페이스의 서비스 계정이 나열되는지 확인할 수 있습니다.
- Pod에서 지정하는 서비스 계정에서 csi 볼륨을 사용할 수 있는지 또는 Pod를 직접 생성한 사용자가 csi 볼륨을 사용할 수 있는지 확인합니다. 자세한 내용은 "사실 설명 및 pod 보안 승인 관리"를 참조하십시오.

참고

이 목록에 있는 마지막 두 사전 요구 사항이 모두 충족되거나, 만들거나, 생성할 사람을 요청하면 SharedConfigMap CR 인스턴스를 검색하고 서비스 계정에서 SharedConfigMap CR 인스턴스를 사용할 수 있도록 필요한 RBAC(역할 기반 액세스 제어)에 필요합니다.

절차

oc apply 를 YAML 콘텐츠와 함께 사용하여 해당 Pod에서 SharedConfigMap CR 인스턴스를 사용하도록 지정된 서비스 계정 RBAC 권한을 부여합니다.
참고
현재 kubectl 및 oc 는 Pod 보안에 중점을 둔 역할로 use 동사를 제한하는 하드 코드 특수 케이스 논리가 있습니다. 따라서 oc create role … 을 사용하여 SharedConfigMap CR 인스턴스 사용에 필요한 역할을 생성할 수 없습니다.
```
$ oc apply -f - <<EOF
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  name: shared-resource-my-share
  namespace: my-namespace
rules:
  - apiGroups:
      - sharedresource.openshift.io
    resources:
      - sharedconfigmaps
    resourceNames:
      - my-share
    verbs:
      - use
EOF
```

oc 명령을 사용하여 역할과 관련된 RoleBinding 을 생성합니다.

oc create rolebinding shared-resource-my-share --role=shared-resource-my-share --serviceaccount=my-namespace:builder

Pod에서 SharedConfigMap CR 인스턴스에 액세스합니다.

$ oc apply -f - <<EOF
kind: Pod
apiVersion: v1
metadata:
  name: my-app
  namespace: my-namespace
spec:
  serviceAccountName: default

# containers omitted …. Follow standard use of ‘volumeMounts’ for referencing your shared resource volume

    volumes:
    - name: my-csi-volume
      csi:
        readOnly: true
        driver: csi.sharedresource.openshift.io
        volumeAttributes:
          sharedConfigMap: my-share

EOF

5.3.6. 공유 리소스 CSI 드라이버에 대한 추가 지원 제한 사항

공유 리소스 CSI 드라이버에는 다음과 같은 제한 사항이 있습니다.

드라이버는 CSI(Container Storage Interface) 인라인 임시 볼륨의 제한 사항이 적용됩니다.
readOnly 필드의 값은 true 여야 합니다. Pod 생성에서 검증 승인 Webhook에서 readOnly 가 false 인 경우 Pod 생성을 거부합니다. 어떤 이유로든 Pod를 시작하는 동안 볼륨 프로비저닝 시 검증 승인 Webhook에 연결할 수 없는 경우 드라이버는 kubelet으로 오류를 반환합니다. readOnly 가 필요한 것은 업스트림 Kubernetes CSI 드라이버에서 SELinux 레이블을 관련 볼륨에 적용하는 데 제안된 모범 사례를 유지하는 것입니다.
드라이버는 tmpfs 볼륨만 지원하므로 FSType 필드를 무시합니다.
드라이버는 NodePublishSecretRef 필드를 무시합니다. 대신 use 동사와 SubjectAccessReviews 를 사용하여 Pod에서 SharedSecret 또는 SharedConfigMap CR(사용자 정의 리소스) 인스턴스가 포함된 볼륨을 가져올 수 있는지 여부를 평가합니다.
이름이 openshift 로 시작하는 SharedSecret 또는 SharedConfigMap CR(사용자 정의 리소스) 인스턴스를 생성할 수 없습니다.

5.3.7. 공유 리소스 Pod 볼륨의 VolumeAttributes에 대한 추가 세부 정보

다음 속성은 다양한 방식으로 공유 리소스 Pod 볼륨에 영향을 미칩니다.

volumeAttributes 속성의 refreshResource 특성입니다.
Shared Resource CSI Driver 구성의 refreshResources 속성입니다.
volumeAttributes 속성의 sharedSecret 및 sharedConfigMap 속성입니다.

5.3.7.1. `refreshResource` 특성

공유 리소스 CSI 드라이버는 볼륨의 volumeAttributes 속성에서 refreshResource 특성을 준수합니다. 이 속성은 Pod 시작의 일부로 볼륨을 처음 프로비저닝한 후 기본 Secret 또는 ConfigMap 오브젝트의 콘텐츠 콘텐츠에 대한 업데이트가 볼륨에 복사되는지 여부를 제어합니다. refreshResource 의 기본값은 true 이며, 이는 콘텐츠가 업데이트됨을 의미합니다.

중요

공유 리소스 CSI Driver 구성에서 공유 SharedSecret 및 SharedConfigMap CR(사용자 정의 리소스) 인스턴스 새로 고침을 비활성화한 경우 volumeAttribute 속성의 refreshResource 속성이 적용되지 않습니다. 이 속성의 목적은 일반적으로 새로 고침이 허용되는 경우 특정 볼륨 마운트에 대한 새로 고침을 비활성화하는 것입니다.

5.3.7.2. `refreshResources` 특성

글로벌 스위치를 사용하여 공유 리소스 새로 고침을 활성화하거나 비활성화할 수 있습니다. 이 스위치는 openshift-cluster-csi-csi-drivers 네임스페이스에서 찾을 수 있는 Shared Resource CSI 드라이버의 csi-driver-shared-resource- config 구성 맵의 refreshResources 속성입니다. 이 refreshResources 특성을 false 로 설정하면 볼륨의 초기 프로비저닝 후 볼륨에 저장된 Secret 또는 ConfigMap 오브젝트 관련 콘텐츠가 업데이트되지 않습니다.

중요

이 Shared Resource CSI Driver 구성을 사용하여 새로 고침을 비활성화하면 해당 볼륨의 volumeAttributes 속성에 있는 refreshResource 속성에 관계없이 Shared Resource CSI Driver를 사용하는 모든 클러스터의 볼륨 마운트에 영향을 미칩니다.

5.3.7.3. Pod에 대한 공유 리소스 볼륨을 프로비저닝하기 전에 volumeAttributes 검증

단일 볼륨의 volumeAttributes 에서 sharedSecret 또는 sharedConfigMap 특성을 SharedSecret 또는 SharedConfigMap CS 인스턴스의 값으로 설정해야 합니다. 그렇지 않으면 Pod를 시작하는 동안 볼륨이 프로비저닝되면 검증에서 해당 볼륨의 volumeAttributes 를 확인하고 다음 조건에서 kubelet에 오류를 반환합니다.

sharedSecret 및 sharedConfigMap 속성에는 모두 지정된 값이 있습니다.
sharedSecret 이나 sharedConfigMap 속성에는 지정된 값이 없습니다.
sharedSecret 또는 sharedConfigMap 특성 값은 클러스터의 SharedSecret 또는 SharedConfigMap CR 인스턴스 이름과 일치하지 않습니다.

5.3.8. 공유 리소스, Insights Operator 및 OpenShift Container Platform 빌드 간의 통합

OpenShift Container Platform Builds에서 공유 리소스, Insights Operator 및 OpenShift Container Platform Builds 간의 통합을 통해 Red Hat 서브스크립션 (RHEL 인타이틀먼트)을 더 쉽게 사용할 수 있습니다.

이전에는 OpenShift Container Platform 4.9.x 및 이전 버전에서 인증 정보를 수동으로 가져와서 빌드를 실행한 각 프로젝트 또는 네임스페이스로 복사했습니다.

이제 OpenShift Container Platform 4.10 이상에서 OpenShift Container Platform Builds는 공유 리소스 및 Insights Operator에서 제공하는 간단한 콘텐츠 액세스 기능을 참조하여 Red Hat 서브스크립션 (RHEL 인타이틀먼트)을 사용할 수 있습니다.

간단한 콘텐츠 액세스 기능은 서브스크립션 자격 증명을 잘 알려진 Secret 오브젝트로 가져옵니다. 다음 "리소스" 섹션의 링크를 참조하십시오.
클러스터 관리자는 Secret 오브젝트에 대한 SharedSecret CR(사용자 정의 리소스) 인스턴스를 생성하고 특정 프로젝트 또는 네임스페이스에 대한 권한을 부여합니다. 특히 클러스터 관리자는 해당 SharedSecret CR 인스턴스를 사용할 수 있는 builder 서비스 계정 권한을 제공합니다.
이러한 프로젝트 또는 네임스페이스 내에서 실행되는 빌드는 SharedSecret CR 인스턴스 및 사용 권한이 있는 RHEL 콘텐츠를 참조하는 CSI 볼륨을 마운트할 수 있습니다.

추가 리소스

5.3.1. CSI 정보

5.3.3. Pod에서 SharedSecret 인스턴스 사용

5.3.5. Pod에서 SharedConfigMap 인스턴스 사용

5.3.6. 공유 리소스 CSI 드라이버에 대한 추가 지원 제한 사항

5.3.7. 공유 리소스 Pod 볼륨의 VolumeAttributes에 대한 추가 세부 정보

5.3.7.1. `refreshResource` 특성

5.3.7.2. `refreshResources` 특성

5.3.7.3. Pod에 대한 공유 리소스 볼륨을 프로비저닝하기 전에 volumeAttributes 검증

5.3.8. 공유 리소스, Insights Operator 및 OpenShift Container Platform 빌드 간의 통합

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat 소개

Red Hat legal and privacy links

Red Hat legal and privacy links

5.3. 공유 리소스 CSI Driver Operator

5.3.1. CSI 정보

5.3.2. 네임스페이스 간 보안 공유

5.3.3. Pod에서 SharedSecret 인스턴스 사용

5.3.4. 네임스페이스 간 구성 맵 공유

5.3.5. Pod에서 SharedConfigMap 인스턴스 사용

5.3.6. 공유 리소스 CSI 드라이버에 대한 추가 지원 제한 사항

5.3.7. 공유 리소스 Pod 볼륨의 VolumeAttributes에 대한 추가 세부 정보

5.3.7.1. refreshResource 특성

5.3.7.2. refreshResources 특성

5.3.7.3. Pod에 대한 공유 리소스 볼륨을 프로비저닝하기 전에 volumeAttributes 검증

5.3.8. 공유 리소스, Insights Operator 및 OpenShift Container Platform 빌드 간의 통합

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat 소개

Red Hat legal and privacy links

Red Hat legal and privacy links

5.3.7.1. `refreshResource` 특성

5.3.7.2. `refreshResources` 특성